Codice privacy, un decennio al passo con i tempi

(Guida al diritto – Il Sole 24 Ore,  8-14 febbraio 2015)

Sono trascorsi undici anni dalla data di entrata in vigore del Codice e molto è cambiato nella realtà della protezione dati. Basti pensare che esso è stato emanato quando internet non aveva ancora assunto i caratteri di una vera e propria dimensione della vita reale, quale invece è adesso, nell’era appunto dell’internet delle cose, o meglio “di ogni cosa”. Lungo il corso di questa evoluzione, la disciplina del Codice – rimasta sostanzialmente immutata, salvo alcuni aspetti – si è dimostrata straordinariamente lungimirante e duttile quanto necessario per comprendere al suo interno una realtà costantemente e inevitabilmente in mutamento. Mai come in questa materia, invero, il rischio più forte per il diritto è l’anacronismo.

Disciplinare le forme del governo di ciascuno sui propri dati vuol dire infatti, anche, essere al passo con l’evoluzione scientifica e tecnologica, comprenderla e ricondurla, pur con la sua fluidità, nella cornice, inevitabilmente fissa, delle norme, per impedire che la legge ignori la vita, nella sua concretezza. Vuol dire, in altri termini, coniugare tecnologia e umanità, libertà e sicurezza, trasparenza del pubblico e opacità del privato, informazione e dignità, iniziativa economica e autonomia individuale, scienza e libertà dal determinismo.

Nel confronto con questa realtà, l a normativa di protezione dati deve poter coniugare rigore e duttilità. Ciò che nel Codice è stato reso possibile in primo luogo da un impianto nel complesso lungimirante e innovativo, che ha espressamente sancito questo nuovo diritto, riconducendolo all’ambito dei diritti fondamentali e in stretta correlazione con la dignità, oltre che con l’identità personale; conferendogli un contenuto positivo e relazionale; di condizione per la libera costruzione della personalità. E se la tutela della riservatezza tradizionalmente intesa è essenzialmente statica, negativa (esaurendosi nello ius excludendi alios), la protezione dati ha un carattere fortemente dinamico. Quale diritto all’autodeterminazione informativa, si esprime in poteri d’intervento nei confronti di chiunque gestisca i dati, comporta la possibilità di fissare modalità e condizioni del trattamento, avvalendosi di forme nuove di tutela, sempre più preventiva e in forma specifica.

Ma la capacità del Codice di adeguarsi a una realtà in costante evoluzione si deve anche alla frequente integrazione del dettato legislativo con norme di fonte diversa. Non solo regolamenti ma anche codici deontologici; autorizzazioni e provvedimenti generali del Garante con funzione integratrice: grazie a tutte queste fonti di etero-integrazione del precetto legislativo, la disciplina di protezione dati si è potuta adeguare, con notevole flessibilità, a una realtà in costante evoluzione.

Ai codici deontologici (redatti dalla stessa categoria di riferimento e dunque maggiormente suscettibili di introiezione) è in particolare affidato, in alcuni settori, il bilanciamento tra interessi di particolare rilievo (ad esempio, informazione e riservatezza) e, quindi, la definizione dei parametri integrativi delle norme del Codice. Particolarmente utile è stato anche lo strumento dei provvedimenti generali (tra i quali anche le Linee guida), cui il Garante ha fatto ricorso ogniqualvolta si è ravvisata la necessità di dettare una disciplina organica in alcune materie: dalla videosorveglianza alla trasparenza, dalle sentenze on-line alla biometria, dai data breaches alla protezione dati nei rapporti di lavoro. Materie, queste, caratterizzate da una rapida successione normativa o comunque da aspetti meritevoli di precisazione, per garantire maggiore certezza del diritto. Significativo, in tal senso, il provvedimento del settembre 2012, con il quale – a seguito del decreto salva-Italia (Dl 201/2011), che ha sottratto alle garanzie sancite dal Codice le persone giuridiche, gli enti e le associazioni – l’Autorità ha avuto modo di sciogliere i dubbi emersi in sede applicativa ed evitare incompatibilità con il diritto europeo, precisando come anche queste categorie di soggetti continuino a beneficiare della tutela accordata dal Codice nel settore delle comunicazioni elettroniche.

Tutti questi strumenti hanno consentito il costante, progressivo adeguamento della disciplina di protezione dati alla realtà di riferimento: nell’evoluzione della tecnica (e quindi dei costumi sociali), nelle esigenze emerse in sede applicativa, nelle istanze rappresentate – spesso anche in consultazioni pubbliche – da cittadini, associazioni, imprese.

Quando poi si è ravvisata una vera e propria lacuna normativa, non colmabile con interventi del Garante, si è fatto ricorso allo strumento della segnalazione al Parlamento, o comunque a indirizzi rivolti al legislatore o al Governo in sede di Relazione annuale, di indagini conoscitive su determinati provvedimenti all’esame delle Camere o nell’ambito dei pareri resi su schemi di atti normativi o amministrativi generali: dal fascicolo sanitario elettronico al wi-fi, dall’Anagrafe tributaria al diritto all’oblio, dalla trasparenza ai minori malati. Modulando così il proprio intervento, il Garante ha anche potuto svolgere un’indispensabile funzione di indirizzo, di stimolo rispetto alle altre istituzioni, sempre più spesso chiamate a decidere su temi che hanno implicazioni, più o meno dirette e più o meno profonde sulla riservatezza dei cittadini. E attraverso questa funzione (anche) di moral suasion, si è spesso avuto modo di adeguare al meglio la normativa interna con quella europea, nel cui ambito la protezione dati ha assunto via via, in questi anni, un rilievo sempre crescente.

La Carta di Nizza (che con Lisbona ha assunto valore equiparato ai trattati) ha infatti sancito, quale diritto fondamentale dei cittadini europei, il diritto alla protezione dati, autonomo dal diritto al rispetto della vita privata (più vicino al right to be let alone di Warren e Brandeis) in ragione del suo contenuto essenzialmente relazionale. Particolarmente significativa in questo senso è la sentenza Sidabras della Corte europea dei diritti umani, che trae dall’articolo 8 della Convenzione anche il diritto a sviluppare relazioni sociali al riparo da ogni forma di discriminazione, qualificando dunque la privacy quale pre-condizione per l’eguaglianza e il godimento dei diritti fondamentali. L’Habeas data è dunque, nella società digitale, ciò che l’habeas corpus ha rappresentato sin dalla Magna Charta e la cui tutela è dai trattati affidata alle Autorità di protezione dati: frammenti di un più ampio disegno costituzionale europeo. La privacy ne è, indubbiamente, il cardine: diritto fondamentale ma anche “cifra” del modello europeo di cittadinanza e di democrazia.

Lo ha ben espresso la Corte di giustizia anche di recente, da un lato tracciando alcune essenziali cautele per impedire che strumenti investigativi preziosi si trasformino in mezzi di sorveglianza di massa (sentenza Digital rights); dall’altro affermando la prevalenza dei diritti fondamentali sugli interessi economici dei grandi monopolisti del Web, capaci altrimenti di monetizzare, con i dati altrui di cui dispongono, la nostra stessa libertà (sentenza Costeja contro Google-Spain). Significativamente, entrambe le sentenze affermano l’esigenza di proteggere i dati dei cittadini europei anche in un contesto, quale quello digitale, in cui l’assenza di confini porta con sé il rischio di neutralizzare i diritti, per effetto dell’ultrattività di discipline meno garantiste. Il Datagate, in particolare, ha mostrato come l’applicazione dei Patriot Acts a comunicazioni che non si esauriscono nel territorio statunitense rischi di privare i cittadini europei, i cui dati siano acquisiti dalle agenzie americane, delle garanzie loro accordate dalla normativa interna.

Si spiega dunque perché la sentenza “Digital rights” richiami l’esigenza di impedire il trasferimento, all’esterno della Ue, dei dati di traffico pur legittimamente acquisiti in Europa, mentre la Costeja radichi la giurisdizione europea anche rispetto a titolari, quali Google, aventi la principale sede all’estero. La stessa esigenza ha motivato il Garante, ad esempio, a emanare, lo scorso luglio, un provvedimento prescrittivo nei confronti di Google, tale da rafforzare le garanzie degli utenti rispetto ai rischi di profilazione e utilizzo indebito dei propri dati.

Analoga clausola è contenuta nel Regolamento europeo sulla protezione dati, attualmente in discussione, di cui sarà possibile l’applicazione anche ai trattamenti svolti nel contesto dell’offerta a cittadini europei di beni e servizi da parte di soggetti non stabiliti nell’Unione.

Tra innovazioni e continuità, il Regolamento rappresenterà a breve il quadro giuridico di riferimento per un diritto che si rivela, ogni giorno di più, straordinario strumento di libertà contro vecchie e nuove forme di stigmatizzazione sociale; diritto d'”inviolata personalità” senza il quale ogni democrazia rischia di cedere alla logica totalitaria dell’uomo di vetro e la rete di ridursi a spazio anomico dove globalizzare non le libertà ma l’indifferenza ai diritti.

PRIVACY POLICY